Risorse > Glossario dei termini sulla sicurezza > Cos'è un reverse proxy

Che cos'è un reverse proxy?

Definizione di reverse proxy

Un reverse proxy è un server, un'applicazione o un servizio cloud che si colloca di fronte a uno o più server web per intercettare e ispezionare le richieste in entrata del client, inoltrarle al server web e, successivamente, restituire la risposta del server al client. Questo approccio è vantaggioso per la sicurezza, la scalabilità e le prestazioni di siti web, servizi cloud e reti CDN.

Il reverse proxy come servizio cloud è una delle modalità di distribuzione del CASB (Cloud Access Security Broker), progettata per fornire sicurezza inline e in tempo reale per applicazioni, infrastrutture e altre risorse con base cloud.
 

Qual è la differenza tra un reverse proxy e un forward proxy?

È facile confondere questi due tipi di server proxy, ed è quindi utile approfondirne le caratteristiche.

Posizionandosi davanti a un server web, un reverse proxy fa in modo che nessun client comunichi direttamente con il server. Un forward proxy (un'altra modalità del CASB) si colloca di fronte agli endpoint del client per intercettare le richieste in entrata e garantire che nessun server comunichi direttamente con un client. I forward proxy possono sembrare simili dal punto di vista funzionale, ma solitamente dipendono da un agente software installato sugli endpoint per l'inoltro del traffico, mentre i reverse proxy no.
 

Cos'è un server reverse proxy ?

"Server reverse proxy" è semplicemente un termine più formale per indicare il reverse proxy stesso (lo stesso vale per "server forward proxy" in relazione al forward proxy). Oggi si tende a tralasciare il termine "server" perché può far pensare all'hardware, e quindi a dei dispositivi fisici, mentre questa tecnologia assume spesso la forma di un'applicazione o di un servizio cloud.

Come funziona un reverse proxy?

Inserendosi nel flusso del traffico, un reverse proxy si integra con il servizio di autenticazione di un'organizzazione (ad esempio, il single sign-on). Una volta configurati i servizi e le app affinché possano effettuare transazioni con il reverse proxy, quest'ultimo può funzionare inline senza agente. In questo modo, è possibile offrire un'esperienza utente semplice, in cui il traffico in entrata verso le app cloud gestite ed entità analoghe viene reindirizzato in automatico verso il reverse proxy.

Approfondiamo questo processo.

Un reverse proxy è in grado di proteggere i dati sensibili (come dati PCI e PII) agendo come intermediario o sostituto del server su cui risiedono tali dati. Le richieste dei client vengono instradate prima verso il reverse proxy, quindi attraverso una porta specificata in un qualsiasi firewall idoneo, e in seguito verso il server dei contenuti, per tornare indietro alla fine. Il client e il server non comunicano mai direttamente, ma il client interpreta le risposte come se lo avessero fatto. Ecco i passaggi fondamentali:

  1. Il client invia una richiesta che il reverse proxy intercetta
  2. Il reverse proxy inoltra la richiesta in entrata al firewall
    a. Il reverse proxy può essere configurato per rispondere direttamente alle richieste per i file nella sua cache senza comunicare con il server; sono disponibili ulteriori dettagli su questo argomento nei casi d'uso
  3. Il firewall blocca la richiesta o la inoltra al server
  4. Il server invia la risposta attraverso il firewall al proxy
  5. Il reverse proxy invia la risposta al client

Il reverse proxy può inoltre analizzare le risposte del server alla ricerca di informazioni che potrebbero consentire a un hacker di effettuare il reindirizzamento verso delle risorse interne protette o di sfruttare altre vulnerabilità.

Casi d'uso del reverse proxy

Il reverse proxy, come modalità di distribuzione del CASB, è fondamentale per il modello di Security Service Edge (SSE), insieme a secure web gateway (SWG), ZTNA (Zero Trust Network Access) e altri servizi di sicurezza forniti sul cloud.

Oltre all'SSE, i casi d'uso specifici più comuni dei reverse proxy includono:
 

Protezione dei dispositivi non gestiti

I dipendenti possono utilizzare vari dispositivi per svolgere il proprio lavoro, compresi quelli personali. Inoltre, molti fornitori, partner e clienti possono aver bisogno di accedere alle applicazioni interne dai loro dispositivi non gestiti, e questo rappresenta un rischio per la sicurezza.

È possibile installare degli agenti per gestire i dispositivi di proprietà dell'organizzazione, ma per gli endpoint non gestiti la situazione è un po' diversa. Le terze parti non permettono di installare degli agenti sui loro endpoint, e molti dipendenti non vogliono installare agenti sui propri dispositivi personali. Un reverse proxy offre invece una protezione senza agente contro la perdita dei dati e i malware per qualsiasi dispositivo non gestito che acceda alle applicazioni e alle risorse cloud.

More browsing, less worry

Protezione dati

Un reverse proxy è in grado di applicare policy per prevenire la perdita dei dati impedendo l'upload o il download accidentale o intenzionale di informazioni sensibili attraverso le app cloud autorizzate. Poiché opera inline e ispeziona il traffico criptato (in particolare un reverse proxy con base cloud), è in grado di garantire che i dati caricati o scaricati siano in linea con le policy aziendali.
 

Prevenzione delle minacce

Un file infetto in un servizio cloud può diffondersi alle app e ai dispositivi collegati, soprattutto se non gestiti. Impedendo l'upload o il download di file infetti attraverso le risorse cloud senza la necessità di installare un agente, un reverse proxy fornisce una protezione dalle minacce avanzate contro malware e ransomware.

Per loro natura, i reverse proxy nascondono anche i server e i relativi indirizzi IP ai client, proteggendo così le risorse web da minacce come gli attacchi DDoS (Distributed Denial of Service).
 

Bilanciamento del carico

I reverse proxy possono essere utilizzati per gestire le richieste dei client che potrebbero altrimenti sovraccaricare un singolo server, favorendo l'alta disponibilità, migliorando i tempi di caricamento ed eliminando la pressione dal server di backend. Essi agiscono principalmente in due modalità differenti:

  1. Un reverse proxy può memorizzare temporaneamente nella cache il contenuto di un server di origine, quindi inviare il contenuto ai client che lo richiedono senza ulteriori transazioni con il server (questa modalità è definita accelerazione web). Il DNS può essere utilizzato per instradare le richieste in modo uniforme tra più reverse proxy.
  2. Se un sito web di grandi dimensioni, o un altro servizio web, utilizza più server di origine, un reverse proxy può distribuire le richieste e garantire carichi uniformi tra i server.

I vantaggi dell'utilizzo di un reverse proxy

Tenendo a mente questi casi d'uso, i vantaggi derivanti dall'utilizzo di un reverse proxy rientrano in tre aree principali:

  • Sicurezza dei dati e prevenzione delle minacce: i reverse proxy forniscono le funzionalità dei firewall per le applicazioni web (Web Application Firewall, o WAF), monitorando e filtrando il traffico (compreso quello criptato) tra gli endpoint gestiti e quelli non gestiti e il server web, proteggendo quest'ultimo da iniezione SQL, cross-site scripting e molto altro ancora.
  • Scalabilità e gestione delle risorse: i reverse proxy offrono vantaggi su due fronti. Da un lato, supportano la scalabilità operativa eliminando la necessità di installare agenti sugli endpoint degli utenti, prima di offrire un accesso sicuro alle risorse gestite. Inoltre, supportano la scalabilità dell'infrastruttura attraverso le funzionalità di bilanciamento del carico per le risorse molto richieste.
  • Prestazioni e produttività: i reverse proxy con base cloud sono in grado di analizzare e applicare le policy di sicurezza al traffico, compreso quello degli utenti in remoto, senza doverlo reindirizzare attraverso il data center. Inoltre, dispongono di una scalabilità illimitata per l'ispezione del traffico TLS/SSL (che rappresenta la maggior parte del traffico di oggi), mentre i firewall e i proxy basati su apparecchi fisici raramente sono in grado di ispezionare la crittografia TLS/SSL senza portare a gravi cali delle prestazioni.

Che cos'è un forward proxy?

Per saperne di più
Che cos'è un forward proxy?

Che cos'è un proxy cloud?

Per saperne di più
Che cos'è un proxy cloud?

Cloud Browser Isolation di Zscaler

Consulta la scheda tecnica
Zscaler Cloud Browser Isolation

Le sfide dei reverse proxy

I reverse proxy, o proxy inversi, offrono notevoli vantaggi per la sicurezza quando si tratta di proteggere i dispositivi non gestiti e le applicazioni aziendali, ma presentano anche diversi punti deboli, come:

  • Mancanza di sicurezza per le risorse non gestite: se un utente ha bisogno di un accesso sicuro a un'app o a una risorsa non integrata con l'SSO, il reverse proxy non può aiutare. Quest'ultimo, infatti, monitora solo il traffico destinato alle risorse autorizzate, non tutto il traffico, e per proteggere le risorse non autorizzate allo stesso modo è necessario un forward proxy, o proxy di inoltro.
  • Rischio di blocchi frequenti: i reverse proxy sono in genere funzionano con versioni specifiche delle applicazioni; quindi, quando un'applicazione viene aggiornata e il nuovo codice è inviato al proxy, quest'ultimo può bloccarsi. L'applicazione non aggiornata potrebbe quindi non essere disponibile fino a quando il proxy non è riprogrammato, causando frustrazione per gli utenti e cali della produttività.

Ancora meglio: l'isolamento del browser cloud

Oggi, un numero sempre maggiore di aziende ricorre all'isolamento del browser cloud per evitare le limitazioni e il rischio di blocco dei reverse proxy e consentire al contempo l'uso sicuro dei dispositivi non gestiti senza installare agenti sugli endpoint.

Quando un utente accede a un'applicazione cloud gestita, Zscaler Cloud Browser Isolation virtualizza la sessione e renderizza i contenuti in un ambiente isolato sul cloud, inviando la sessione all'utente sotto forma di flusso di pixel. L'esperienza utente è identica all'esperienza nativa di quell'app cloud, ad eccezione del fatto che la funzionalità di CBI impedisce ai dispositivi non gestiti di scaricare, copiare, incollare o stampare i dati sensibili presenti nell'app.

Di conseguenza, la funzionalità di CBI è la soluzione ideale per supportare la flessibilità e la produttività di una base estesa di utenti prevenendo al contempo fughe accidentali, esfiltrazioni dolose e la proliferazione di malware tramite i dispositivi non gestiti.

La funzionalità di Cloud Browser Isolation di Zscaler

La funzionalità di Cloud Browser Isolation di Zscaler offre una difesa impareggiabile contro le fughe di dati e le minacce basate sul web, grazie all'isolamento web zero trust più avanzato del settore.

Un'esperienza utente ineguagliabile
Grazie alla nostra esclusiva tecnologia che effettua lo streaming sotto forma di pixel e all'architettura proxy diretta al cloud, è possibile ottenere connessioni ad alta velocità per le app e i siti web. Gli utenti ricevono un flusso di pixel altamente performante sul proprio browser, ottenendo la massima sicurezza senza cali della produttività.

Protezione uniforme degli utenti, ovunque
Grazie a policy di isolamento zero trust, che si estendono a sedi centrali, mobili o da remoto e alle funzioni e ai reparti maggiormente colpiti, è possibile proteggere qualsiasi utente, su qualsiasi dispositivo e in qualsiasi luogo.

Semplificazione della gestione
È possibile distribuire la soluzione e gestirla in pochi secondi, sfruttando Zscaler Client Connector o un'opzione senza agente, per instradare il traffico attraverso Zero Trust Exchange™ di Zscaler con l'integrazione nativa di Cloud Browser Isolation.

Compatibilità universale
La copertura di tutti i principali browser web consente di adattarsi alle preferenze degli utenti. La persistenza dei cookie per le sessioni isolate mantiene intatte le impostazioni principali, le preferenze e le informazioni di accesso degli utenti.

More browsing, less worry